Firewall + HIPS

[Гост tnn]

AntiHook и възможностите на PC Tools Firewall Plus + ThreatFire съпоставими ли са изобщо?Според мен не са. Ако Касперски създава треторазряден софтуер, то Иво Иванов петоразряден ли предлага? Поздрави

[tanganika]

AntiHook и възможностите на PC Tools Firewall Plus + ThreatFire съпоставими ли са изобщо?Според мен не са. Ако Касперски създава треторазряден софтуер, то Иво Иванов петоразряден ли предлага? Поздрави

Ето на какво ниво е ThreatFire

http://membres.lycos.fr/nicmtests/Unhooker...hawk_unhook.htm

 

Ако на такова справяне казваш петоразрядна защита

http://membres.lycos.fr/nicmtests/Unhooker...hook_unhook.htm

HIPS-а на PC Tools Firewall Plus е твърде либерален в сравнение с този на AntiHook.

AntiHook не разрешава прекратяване на процеси от други приложения http://www.plaatjesupload.nl/bekijk/2009/04/26/1240737282-990.jpg

http://www.plaatjesupload.nl/bekijk/2009/04/26/1240737316-030.jpg

Не само че AntiHook не може да бъде изключена/спряна,но се грижи това да не се случва и със антивирусните програми,защитните стени и всички други приложения на ОС.Точно стената на KIS има основен и огромен проблем точно с дърпането на шалтера и (много е лесна за спиране/елеминиране от зловреден софтуер) а HIPS-а му е на девето място.

За Иво Иванов не разбрах точно какво прави,участва в създаването на AntiHook ли ?

[Гост tnn]

Да, позна. Би могъл да предложиш на чешките тестващи да проверят AntiHook - не зная дали дори на нивото на Mamutu ще се представи.Показал си снимка на процесите - FType2k.exe защо изобщо е там? AntiHook изглежда пропуска доста подобни неща, а го възхваляваш.Поздрави

[Night_Raven]

Ето на какво ниво е ThreatFire

http://membres.lycos.fr/nicmtests/Unhooker...hawk_unhook.htm

Тези тестове са доста стари, още от времето, когато програмата се казваше CyberHawk и не беше купена от PC Tools. Това не значи, че в момента ще е със сигурност по-добре или по-зле, а че е възможно да е по-добре или по-зле. Т.е. тестовете са позагубили давността си.

 

AntiHook не разрешава прекратяване на процеси от други приложения

Това го може на практика всяка HIPS програма. Дори ProcessGuard Free, която е може би най-базовата и стара HIPS програма, го може това.

[tanganika]

Да, позна. Би могъл да предложиш на чешките тестващи да проверят AntiHook - не зная дали дори на нивото на Mamutu ще се представи.Показал си снимка на процесите - FType2k.exe защо изобщо е там? AntiHook изглежда пропуска доста подобни неща, а го възхваляваш.Поздрави

Познах че Иво Иванов участва в създаването на AntiHook ли ?

Mamutu дори не се зарежда на ниво kernel,което означава че ще бъде елеминиран много лесно от rootkit.

На първо ниво AntiHook има контрол на изпълнимите файлове,а на второ ниво това

http://www.plaatjesupload.nl/bekijk/2009/04/26/1240751694-40.jpg

Това се случва с всеки един файл от тестовете на matousec

http://www.plaatjesupload.nl/bekijk/2009/04/26/1240752735-950.jpg

Mamutu и касперски с едно две кликвания на мишката и съм им бил шута,а програма която има като опция да бъде изключвана не я вземам на сериозно.Единствения начин AntiHook да бъде преодоляна от вирус е вируса да се стартира преди него,а Австралийците твърдят че AntiHook се стартира най-рано от всички програми за защита които съществуват.

Night_Raven

Това го може на практика всяка HIPS програма. Дори ProcessGuard Free, която е може би най-базовата и стара HIPS програма, го може това.

HIPS-а на нито една от стените не го може.Да,ProcessGuard и AntiHook имат еднакви опции за защита и сега ми остава да открия коя от двете е по-надеждна.

[Гост tnn]

Ако ProcessGuard и AntiHook си приличат - значи не е невъзможно и не е трудно да бъдат изключени. Затова просто липсват при по-сериозни тестове, а и за 2009-та вече май не са особено актуални. Според мен чешките и последните руски тестове са горе-долу достоверни. ProcessGuard и AntiHook са абсолютно несъпоставими примерно с Qutpost или Comodo - те са разработили пълнофункционални защитни стени с много възможности. Поздрави

[Night_Raven]

Всъщност сега се усетих, че нещата могат да се погледнат от две страни:

1) защита на даден процес от прекратяване;

2) позволяване/забрана на даден процес да прекратява други процеси.

В първия случай се указва на HIPS програмата да защитава даден процес, след което той не може да бъде прекратен принудително от никой друг. Във втория случай HIPS програмата реагира, когато даден процес иска да прекрати други (например Task Manager да иска да прекрати някой процес), и пита дали да позволи на въпросния процес да прекратява други процеси.

 

Това са два вида защити. Всяка една HIPS програма предлага поне един от въпросните методи. Това имах предвид. Явно Online Armor предлага само първия.

[tanganika]

Ако ProcessGuard и AntiHook си приличат - значи не е невъзможно и не е трудно да бъдат изключени. Затова просто липсват при по-сериозни тестове, а и за 2009-та вече май не са особено актуални. Според мен чешките и последните руски тестове са горе-долу достоверни. ProcessGuard и AntiHook са абсолютно несъпоставими примерно с Qutpost или Comodo - те са разработили пълнофункционални защитни стени с много възможности. Поздрави

ProcessGuard не е защитна стена,но се справя със заплахи с които защитните стени не успяват http://diamondcs.com.au/processguard/attacks.php Това че не участват в тестовете на „matousec” не означава нищо,може да се дължи на десетки причини.От защитните стени единствено Комодо няма опция за изключване/затваряне спасението и при него е деинсталиране.ProcessGuard и AntiHook са от класата на Комодо,като едно от предимствата на първите две е че не позволяват затваряне на процеси от други приложения,което може да е решаващо за опазването на ОС.

 

Night_Raven прав си за Online Armor,но не е по подразбиране трябва да бъде създадено като правило,и аз не съм се сетил за това но при Комодо не се сещам за подобна опция.

[Гост tnn]

Tanganika, къде е гаранцията, че ProcessGuard и AntiHook няма да пазят и предпазват от затваряне процеси на зловреден код !? Точно това очаквам от подобни малки програмки - да се объркат кое какво беше ... Най-весело е и ползвателя ако не е наясно... Нищо - нека експериментира.

[Night_Raven]

Точно това очаквам от подобни малки програмки - да се объркат кое какво беше

Това не съм сигурен, че го схванах. Може ли пак?

[tanganika]

Tanganika, къде е гаранцията, че ProcessGuard и AntiHook няма да пазят и предпазват от затваряне процеси на зловреден код !? Точно това очаквам от подобни малки програмки - да се объркат кое какво беше ... Най-весело е и ползвателя ако не е наясно... Нищо - нека експериментира.

http://membres.lycos.fr/nicmtests/Unhooker...hook_unhook.htm

This program is protected about such disabling attempt.

Тези програмки се държат изключително стабилно и ще бъде изключително трудно да бъдат объркани кое какво беше и да им бъде дръпнат шалтера.

Малко по-надолу

http://kareldjag.over-blog.com/article-1232530.html

Иво Иванов (той бил един от създателите на AntiHook сега го видях) обяснява че дори рууткита вече да е активен след инсталацията на AntiHook ще бъде елеминиран,защото AntiHook ще се зареди преди него.Защо според твоите критерии е от значение големината на програмата ? Защо мислиш че колкото е по-голяма е и по-надеждна ?

Да не каже някой че Българите нямали кадърни програмисти и не могат да създават защитен софтуер от най-висок клас браво на нашето момче никога не съм се съмнявал че имаме такива програмисти.

[Night_Raven]

Иво Иванов (той бил един от създателите на AntiHook сега го видях) обяснява че дори рууткита вече да е активен след инсталацията на AntiHook ще бъде елеминиран,защото AntiHook ще се зареди преди него.

Възможно е да е така, както е възможно да не е. Има доста други HIPS програми, които се зареждат доста рано. А и е напълно възможно някой рууткит да се зарежда още по-рано. Просто ме съмнява AntiHook да е програмата, която се зарежда най-рано и то да няма нито един рууткит, който да се зареди преди нея.

 

LoadOrder е добра програма на SysInternals за извеждане на информация кой драйвер кога се зарежда.

[Pe6o]

Според мен не е точно HIPS,но е много прост и ефективен метод за защита на системните файлове.Ползвал съм много други защитни програми,но никога не са ме питали когато искам да трия файлове от системния дял за разлика от този блокатор.

 

За повечето програми в официалния сайт е посочено,ако там няма в Google.

 

Доверявам се на тестовете на matousec,защото със сигурност могат да определят кой HIPS какво вижда спрямо доста други конкурентни продукти.Може и да не са включили всички възможни тестове за HIPS програми,но ако някой знае за по-подробен/добър и професионален тест нека даде информация.

Здравей tanganika,

Елементарен отговор и далеч от истината, затова ще обясня нещата в чисто практически план.

За демо ще използувам познатата ни вече "SysProtAntiRootkit". Малко предварителна информация: какво е SSDT /System Service Dispatch Table/

http://img294.imageshack.us/img294/9428/syaprot12.jpg

Сега отваряме таба SSDT. В дясната част на прозореца се виждат намиращите се в ОС т.н.SSDT Hooks програми, а в лявата компонентите /параметри/ на SSDT, който контролират принудително. За по голяма яснота със зелен цвят съм маркирал "System Safety Monitor"/safemon.sys/, с жълт Online Armor

/OADriver.sys/ и с червен Avast AV/aswSP.sys/. Или на този компютър има инсталирани три програми използуващи технологията HIPS. По същество това са Hooks програми, но от "добрите", лошите са познати под името "Rootkit's. От пръв поглед се вижда подавляващото присъствие на зеления цвят което показва,а и в практиката се е наложило, че SSM e eдна от най добрите самостоятелни HIPS програми./Трябва да се има впредвид, че програмата комуникира с отдалечени сървари с техниката "Ghostlog" комуникация, която не се засича от HIPS, но се контролира от Behavior blocker/ Online Armor се представя добре но има един нюанс :означението \??\C:ХХХХХХ показва,че компонента се контролира от повече от един драйвър. За Avast AV: малко, но много качествено. Сполучлив ход на разработчиците: контролира компоненти недостъпни за другите. И нещо свързано със сигурността: ако между редовете забележим непознат драйвър трябва внимателно да се провери. При липса на информация е много вероятно, а ако е и в "Hidden for API" формат 100% - Rootkit.

Леките тeстове са добри, но преди всичко са маркетингови продукти на отделните компаний в който предварително е заложена уловка. Нещо от рода на: "да вкараме вълка в кошарата, пък после ще мислим как да спасяваме стадото".

http://img294.imageshack.us/img294/6361/syaprot1a.jpg

http://img294.imageshack.us/img294/8218/syaprot5a.jpg

http://img294.imageshack.us/img294/6384/sysprot.gif

http://img147.imageshack.us/img147/9682/1aaj.gif

 

http://img147.imageshack.us/img147/5963/nm1aa.gif

[Гост tnn]

Това не съм сигурен, че го схванах. Може ли пак?

FType2k.exe си функционира като процес при Tanganika и ако той отново инсталира Ikarus, това бързо ще се промени. В конкретния случай австриецът е точен - един ненужен или зловреден процес по-малко - това бе мисълта ми. Обаче Tanganika явно е склонен да го приема за фалшива тревога - при това положение процесът си остава и дори е допълнително "защитен" от подобни малки уж спомагателни програмки...Не зная той дали се замисля още какво може да се предвиди от този процес - аз бих го отстранил незабавно. Обаче не зная дали е лесен за отстраняване и дали съфорумецът ни знае как да го направи.По-скоро не бих го допуснал. Поздрави

[Night_Raven]

В случая с FlexType Ikarus наистина би направил грешка и определянето на програмата като заплаха би било наистина фалшива тревога. Аз мразя FlexType, защото е излишна, нахална, бъгава, проблемна и платена програма, но колкото и да е боклучава, не спада в категорията на зловреден код (вируси, червеи, троянци и т.н.), което значи, че е извън юрисдикцията на всяка антивирусна програма.